日本威胁格局

赛博安全 版权所有 © 保留所有权利 2024执行摘要生成式人工智能数据泄露富士通事件LINE数据泄露中文威胁行为者日益精准的目标攻击网络钓鱼与社会工程学5全球性短信钓鱼攻击的兴起5勒索软件14区域统计和影响14锁比特17战术、技术和程序 (TTPs)18最新日本事件18IOCs19ALPHV20战术、技术和程序 (TTPs)20最新日本事件21值得注意的IOCs21猎人国际22战术、技术和程序 (TTPs)23最新日本事件23值得注意的IOCs23黑字节23战术、技术和程序 (TTPs)24最新日本事件24值得注意的IOCs24目录 // 2 78889 赛博安全 版权所有 © 保留所有权利 2024联系我们网络空间情报建议38勒索软件防护38网络钓鱼检测与缓解39一项持续进行的地下平台监控39打击显著威胁行动团体40 赛博安全 版权所有 © 保留所有权利 2024作为全球第四大经济体,日本是各种尖端产业的枢轴中心。这包括汽车、制造业、金融和电信,使其攻击面成为网络对手的主要目标。在日本企业的保护中，Cyberint评估了加固其网络安全基础设施以抵御持续的网络对手威胁的任务。该报告包含了我们关于减轻和预防重大网络风险的建议。该地区的勒索攻击主要针对制造业。日本经济严重依赖这一部门，特别是在汽车制造业。鉴于日本在全球供应链中的关键作用，对其制造业的攻击将产生深远的世界性后果。日本与西方的同盟关系以及其与俄罗斯的领土争端，再加上对乌克兰的支持，都增加了来自中国、俄罗斯和朝鲜等国家的国家行为者的网络威胁态势。值得注意的是，Cyberint发现中国语黑暗网络社区对涉及日本公司和个人的数据泄露的兴趣有所上升。日本企業はアジアでransomwareの被害に遭いやすい企業として2番目に位置づけられています。面白いことに、海外支社は、外国の攻撃者が英語で説得力のある社会 工学攻撃や偵察活動を行うのが日本語より容易であるため、相応の脆弱性にさらされています。そのため、脅威行為者はしばしばこれらの支社をターゲットにします。しかし、AIの進歩は未来この動態を変える可能性があります。尽管俄罗斯的直接网络报复仍然有限，但日本的地缘政治定位及其与QUAD和北约等实体的战略联盟带来了重大的网络安全挑战。在本报告中，我们探讨了针对日本的关键高级持续性威胁（APT）派系、勒索软件团伙和黑客集体。执行摘要 // 4 赛博安全 版权所有 © 保留所有权利 2024全球短信诈骗日益猖獗在社会工程攻击领域，一种常见的策略是利用“紧急”、“重要”、“发票”、“购买”等特定关键词来营造紧迫感，这些关键词已被电子邮件服务中使用的垃圾邮件过滤器广泛识别，从而削弱了它们在该领域的有效性。然而，值得注意的是，与电子邮件服务相比，短信收件箱通常提供较低级别的保护，并且存在各种漏洞，组织需要对此保持警惕。网络钓鱼 & 社交工程已观察到此类事件专门针对全球知名组织，例如Twilio和Cloudflare。在这些情况下，短信被精心设计，诱骗员工认为需要立即采取行动或关注。因此，员工被重定向到虚假的钓鱼界面，使他们面临潜在的安全漏洞。日本网络钓鱼活动是普遍的网络威胁，它们针对个人、企业和组织。这些活动旨在欺骗和操纵受害者，强迫他们泄露敏感信息，包括个人凭证、财务数据或登录凭证。在钓鱼攻击是网络钓鱼最常见的手段，但它们也可能被用来在受害者不知情的情况下分发恶意软件。这引起了严重关注，特别是当企业界面可以在个人移动设备上访问时，例如Microsoft Outlook或VPN，这些设备可能会受到零日漏洞的影响。 // 5 赛博安全 版权所有 © 保留所有权利 2024生成式AI图2 //此外，人工智能在威胁行为者的行动计划的策划和执行阶段都提供了便利，使他们能够定制攻击材料以适应多个潜在目标WOLFGPT，一个恶意的生成式人工智能工具，由威胁行为者开发用于加密恶意软件和创建有说服力的钓鱼内生成式人工智能为威胁行为者提供了多样化工具集，用于各种非法活动，包括自动化漏洞发现，这可以显著提高攻击的成本效益。在过去一年中， Cyberint 目睹了多起威胁行为者利用 AI 武器化的案例。像 WormGPT、WolfGPT 和 FraudGPT 等模型被恶意行为者创建。它们主要用于制作复杂的计算机蠕虫和恶意软件，利用系统漏洞，为假新闻文章和社交媒体帖子生成有说服力的和欺骗性的内容，或生产假冒文件、假身份，并协助网络钓鱼企图。日本相对较高的数字化水平，使其成为利用生成式人工智能产品进行攻击的威胁者的一个有吸引力的目标，原因有几点。Moreover,近年来，威胁行为者由于在英语环境下进行社会工程攻击和侦察的便利性，越来越倾向于攻击外国子公司而非日本总部。然而，人工智能翻译和创作能力的进步可能会很快打破这一语言障碍，并改变这种动态。 // 7。容 富士通事件赛博安全 版权所有 © 保留所有权利 2024该漏洞包含44万条个人数据，其中包括用户的年龄段、性别和部分服务使用历史。Line应用数据泄露暴露了约8.6万条商业伙伴的数据项，包括电子邮件地址、姓名和所属机构，以及超过5.1万名员工的记录，含身份证号和电子邮件地址。调查发现，黑客通过在一个分包商的电脑上植入恶意软件，入侵了韩国-based的附属公司NAVER Cloud，从而访问了这些数据。攻击可能利用了一个共享的人事管理系统和通用的身份验证。在一则在线声明中，公司声称他们已确认几台工作用计算机上存在恶意软件。这些计算机包含敏感文件和信息，可能会被恶意软件非法窃取。公司还表示，在发现此事后，他们已通知相关当局并立即断开了受感染的机器。该事件仍在调查中，富士通官员正在调查是否有任何信息泄露。2024年3月，IT设备和服務公司富士通報告稱，他们遭受了網絡攻擊。数据泄露2023年10月，日本科技巨头LY公司披露，因Line即时通讯应用数据泄露，其遭受了数万人的信息泄露。 线路漏洞 // 8 图3 //图4 //赛博安全 版权所有 © 保留所有权利 2024近年来，日本数据在英语地下论坛中流转的现象十分显著。然而，赛博智能的监测和分析表明，在汉语黑暗网络社区中，针对日本数据的泄露事件正引发强烈关注。中文威胁行为者日益增加的针对性2445万 个电子邮件地址来自一个日本电子商务平台，正在中文暗网“DEEPMIX”（中文：暗网中文论坛)在地区紧张局势中，讲中文的网络威胁行为者正表现出对入侵日本企业和个人并交易被盗数据的更高兴趣。一个包含超过9,000条日本汽车贷款和住房贷款信用卡数据的大型数据库，存在于中文黑暗论坛“DEEPMIX”上。暗网中文论坛) // 9 图 5 //赛博安全 版权所有 © 保留所有权利 2024142 日护照和驾照在中国语暗网“DEEPMIX”（中文：暗网中文论坛). 赛博安全 版权所有 © 保留所有权利 2024遭窃的日本亚马逊客户凭证在Telegram上公开 图 8 //赛博安全 版权所有 © 保留所有权利 2024图7 //苏黎世保险客户数据在中国语暗网论坛“长安”（中文：长安不夜城)DISKUNION 客户数据泄露信息在中国语暗网论坛“长安”（中文：长安不夜城) // 12 赛博安全 版权所有 © 保留所有权利 2024图9 //被入侵的日本护照在中国语暗网论坛“长安”（中文：）出售长安不夜城) 勒索软件区域统计与影响图10 //前十名勒索软件攻击在日本2023年1月到2024年3月clop赛博安全 版权所有 © 保留所有权利 2024运营中断是另一个重大影响，影响关键系统并导致停机、服务延迟和客户不满。数据丢失，包括敏感的企业数据和客户信息，可能导致法律问题、损害信任并导致财务处罚。此外，勒索软件攻击造成声誉损害，导致客户流失、品牌价值下降以及获取新业务的挑战。重建信任和恢复声誉需要大量的时间和精力。日本企业是亚洲第二大勒索软件受害者。勒索软件攻击对组织造成深远影响，特别是在日本，这里拥有全球最强大的汽车、科技、制造、金融和电信中心之一。该地区的勒索攻击主要针对制造业。财务损失是主要后果，包括勒索支付、事件响应成本和潜在的诉讼。中小企业通常因资源有限而难以恢复。以下是一些图表，概述了对日本及更广泛地区造成影响的勒索软件攻击的关键统计数据，以及一些参与其中的勒索软件集团的简要情况。 组 4.8%7.1%4.8%// 1431.0%7.1%16.7%4.8%2.4%4.8%4.8%Lockbit3黑字节ALPHV风暴巨大的猎人麒麟malloxransomedvcmedusa 锁比特赛博安全 版权所有 © 保留所有权利 2024锁链比特攻击通常采用双重勒索手段来诱骗受害者付款，首先，以恢复对加密文件的访问权限，然后再次付款以防止其被盗数据被公开。当作为勒索软件即服务（RaaS）使用时，一个初始访问代理（IAB）部署第一阶段恶意软件或在目标组织的基础设施中获得访问权限。然后，他们将这种访问权限出售给主要的锁链比特操作员以进行第二阶段的利用。勒索软件LockBit与今年其他勒索软件相比，已被关联到更多的网络攻击，并确立了其全球最活跃的勒索软件地位。LockBit最初于2019年9月出现，并自那以来经历了进化：从2021年的LockBit 2.0过渡到目前的版本，LockBit 3.0。锁 Bit 主要通过购买的访问权限、未打补丁的漏洞、内部访问和零日漏洞利用来寻求对目标网络的有效访问。“第二阶段”的锁 Bit 控制受害者的系统，收集网络信息，并实现窃取和加密数据等主要目标。 // 17 最新日本事件战术、技术和程序（TTP）图16 //赛博安全 版权所有 © 保留所有权利 2024在获得初始访问权限后，LockBit 3.0恶意软件会下载适用于目标环境的C2工具。LockBit 3.0的第二阶段C2恶意软件使用标准渗透测试工具，如Cobalt Strike Beacon、MetaSploit和Mimikatz，以及自定义利用代码。与Conti类似，LockBit 3.0可以利用蠕虫功能在目标网络中传播。LockBit 3.0恶意软件源代码也因其能自我保护以躲避安全研究人员分析而臭名昭著；工具默认加密，只有在检测到合适的环境时才会解密。TMT机械设备 如锁比特网站所见2024年3月，TMT机械宣布，一家第三方供应商获得了其内部系统的访问权限，并加密了一些敏感数据。因此，3月27日LockBit在其暗网网站上发布了他们的名称。TMT机械进行了调查并发布声明，称他们尚未支付赎金，并且除了几张缺少敏感信息的屏幕截图外，没有数据被发布到网上。锁 bit 3.0 主要通过购买访问权限、未修复漏洞、内部访问和零日漏洞利用，寻求对目标网络的初始访问。在锁 bit 的勒索软件即服务（raas）模型中，主要运营小组通过暗网广告招募初始访问代理（iab），以获取被盗的远程桌面协议（rdp）或虚拟专用网络（vpn）访问凭证。锁 bit 组织还开发针对已知软件漏洞的漏洞利用程序，以利用未修复或配置错误的企业网络。 // 18 IOCs赛博安全 版权所有 © 保留所有权利 2024类型IPIPIPIPIPIPIPIPIPIPIPIPIPIPIPIPSHA256SHA256SHA256SHA1SHA1SHA1MD5MD5文件共享网站：https://www.premiumize[.]com•https://anonfiles[.]com•https://www.sendspace[.]com•https://fex[.]net•https://transfer[.]sh•https://send.exploit[.]in• 138[.]39[.]102[.]21235[.]122[.]32[.]19435[.]129[.]175[.]178138[.]209[.]162[.]178137[.]209[.]162[.]178238[.]181[.]93[.]17294[.]41[.]146[.]1567[